У нас есть сайт, который периодически подвергается атаке DDOS. Когда это происходит, мы получаем сотни пустых запросов, как показано ниже в журнале доступа к домену. Все они абсолютно одинаковы, за исключением отметки времени.
54.236.211.114 - - [20/Apr/2015:22:31:11 +0000] "GET /404.php HTTP/1.0" 404 469 "-" "-"
Указанный IP-адрес является IP-адресом сервера (он выполняет внутренний запрос для получения страницы 404), но помимо этого мы ничего не видим о том, кто это делает, к какому URL-адресу они пытаются получить доступ и т. д.
У меня есть вопрос: есть ли способ определить, откуда идет эта атака и к какому URL-адресу они пытаются получить доступ, возможно, из другого файла журнала или чего-то еще?
Спасибо, Эрик.